Amanhã, 30 de junho de 2026, as Entidades Essenciais de toda a União Europeia enfrentam a primeira auditoria formal de conformidade ao abrigo da Diretiva sobre a Segurança das Redes e da Informação 2 (NIS2). Se a sua organização opera nos setores de energia, transportes, banca, saúde, água, infraestruturas digitais ou em qualquer um dos outros catorze setores abrangidos, e conta com mais de 50 colaboradores e mais de 10 milhões de euros de volume de negócios anual, este prazo aplica-se a si.
A NIS2 não menciona o DMARC pelo nome. Mas os requisitos do seu Artigo 21 em matéria de gestão de riscos de cibersegurança foram interpretados de forma consistente pelos reguladores nacionais que elaboraram as orientações de implementação: um domínio de email sem DMARC a nível de aplicação é uma lacuna de controlo documentada. E um registo DMARC com p=none é tratado da mesma forma que a ausência total de um registo DMARC.
O Que o Artigo 21 Efetivamente Exige
O Artigo 21 da NIS2 obriga as Entidades Essenciais e Importantes a implementar medidas técnicas e organizativas adequadas e proporcionais para gerir os riscos de segurança nas suas redes e sistemas de informação. A disposição inclui dez categorias de medidas mínimas que abrangem a segurança da cadeia de abastecimento, a gestão de incidentes, a criptografia e o controlo de acessos.
A autenticação do email encontra-se na interseção de várias dessas categorias em simultâneo. A ausência de DMARC a nível de aplicação não é uma lacuna única. É uma lacuna que os auditores podem citar contra até cinco obrigações independentes do Artigo 21:
Processos de gestão de riscos. Sem a aplicação do DMARC, uma organização não tem controlo sobre se remetentes não autorizados podem fazer-se passar pelo seu domínio. Isso constitui um risco não gerido para a integridade da identidade da sua infraestrutura de comunicações.
Políticas e procedimentos para a segurança de redes. O email é infraestrutura de rede. Um domínio com p=none não implementou os controlos de camada de autenticação que todos os principais quadros de cibersegurança identificam atualmente como linha de base para a segurança do email empresarial.
Fatores humanos e controlo de acessos. Os emails de phishing que se fazem passar pelo seu domínio são o principal vetor de roubo de credenciais. O DMARC com p=quarantine ou p=reject elimina o phishing por falsificação de domínio como vetor de ataque contra a sua própria organização e os seus parceiros.
Continuidade do negócio e resposta a incidentes. Um domínio que pode ser falsificado livremente cria uma superfície de exposição a incidentes sem limites definidos. Quando o seu domínio é usado para fazer phishing a um parceiro comercial ou a um cliente, o ónus da resposta ao incidente recai sobre a sua organização independentemente de o email ter sido enviado a partir da sua infraestrutura.
Segurança da cadeia de abastecimento. A NIS2 exige explicitamente que as organizações gerem os riscos de cibersegurança introduzidos pelos seus fornecedores tecnológicos. As configurações de autenticação de email – incluindo se os serviços de envio autorizados da sua organização estão corretamente alinhados no seu registo DMARC – constituem um risco documentado da cadeia de abastecimento quando não são monitorizados nem controlados.
A Ficção de Conformidade com p=none
A lacuna de configuração DMARC mais comum que os auditores encontram é o registo p=none publicado apressadamente para satisfazer os requisitos dos remetentes em massa do Gmail e do Outlook em 2024 e 2025, e que nunca foi promovido ao nível de aplicação.
p=none é uma política de monitorização. Instrui os servidores de email destinatários a não tomar nenhuma ação contra as mensagens que não passem na autenticação DMARC. Recolhe dados – através dos relatórios agregados RUA – sobre o que está a enviar email que afirma ser do seu domínio. Mas não bloqueia nada.
A ENISA, a Agência da União Europeia para a Cibersegurança, publicou em junho de 2025 as Orientações Técnicas de Implementação sobre medidas de gestão de riscos de cibersegurança. Essas orientações, que os auditores NIS2 utilizam como referência técnica padrão, identificam a aplicação do DMARC – ou seja, p=quarantine ou p=reject – como o controlo exigido para as organizações que implementam o Artigo 21. Um registo p=none demonstra consciencialização, mas não controlo.
A distinção não é semântica. A consciencialização sem aplicação significa que um atacante pode enviar email de phishing a partir do seu domínio sem qualquer barreira técnica na sua configuração DNS. Isso não é um risco gerido. É um risco não gerido documentado – exatamente a categoria que desencadeia ações de execução ao abrigo da NIS2.
As sanções são da escala do RGPD: até 10 milhões de euros ou 2% do volume de negócios anual global para as Entidades Essenciais, e até 7 milhões de euros ou 1,4% do volume de negócios anual global para as Entidades Importantes.
O Que a Auditoria Vai Verificar
Os auditores NIS2 que analisam configurações de segurança de email não estão a realizar um simples exercício de verificação de caixas de seleção. Estão a avaliar se uma organização implementou uma postura de segurança de email defensável com documentação que demonstre que foi intencional e está a ser mantida.
Os itens específicos que vão verificar:
Existência do registo DNS e nível de política. O auditor vai consultar o DNS do seu domínio à procura de um registo TXT DMARC em _dmarc.o-seu-dominio.com. Se não existir nenhum registo, isso é uma lacuna clara. Se existir um registo com p=none, isso também é uma lacuna. O mínimo esperado é p=quarantine ou p=reject.
Alinhamento de SPF e DKIM. O DMARC só tem significado se os mecanismos de autenticação subjacentes estiverem corretamente configurados. Os auditores vão verificar que o seu registo SPF cobre todas as suas fontes de envio legítimas sem ser excessivamente permissivo, e que a assinatura DKIM está ativa nos domínios de envio que aparecem no cabeçalho From.
Configuração de relatórios RUA. As orientações da ENISA especificam que os relatórios agregados devem estar ativos. Uma etiqueta rua= que aponta para um endereço monitorizado demonstra que alguém está efetivamente a ler os dados de autenticação gerados. Um domínio com p=reject e sem relatórios RUA configurados não tem um controlo de visibilidade obrigatório.
Cobertura da política de subdomínios. Muitas organizações publicam DMARC no seu domínio apex mas não abordam os subdomínios explicitamente. Se a política de subdomínios não for especificada com uma etiqueta sp=, aplica-se a política do domínio apex – mas o auditor vai verificar se os subdomínios de envio foram abordados intencionalmente na sua configuração.
Documentação do caminho para a aplicação. Este é o elemento que a maioria das organizações subestima. Os auditores NIS2 não procuram apenas um registo DMARC corretamente configurado. Estão a avaliar se a organização tem um processo repetível para manter essa configuração. Isso significa registos da análise de relatórios agregados que precedeu a aplicação, documentação de todas as fontes de envio autenticadas e evidência de revisão periódica.
O Que a BSI TR-03108 da Alemanha Tornou Explícito
Embora a NIS2 deixe margem para interpretação nacional, o Gabinete Federal Alemão de Segurança da Informação fechou completamente essa lacuna. A Diretiva Técnica BSI TR-03108 – as orientações de implementação NIS2 nacionais mais detalhadas da Europa – especifica o DMARC a nível de aplicação como um controlo obrigatório para os operadores de infraestrutura de email.
O Centro Nacional de Cibersegurança dos Países Baixos e a ANSSI de França emitiram orientações na mesma direção. As expectativas supervisoras do Banco Central Europeu para as instituições financeiras – que se sobrepõem significativamente ao âmbito de aplicação da NIS2 – identificam a autenticação do email como um controlo de base.
O que isto significa na prática: os países que acolhem a maioria das Entidades Essenciais da UE emitiram ou estão em processo de emitir orientações nacionais explícitas que tratam a aplicação do DMARC como um componente inegociável da conformidade com o Artigo 21 da NIS2. O argumento de que o DMARC é opcional ao abrigo da NIS2 porque o texto da diretiva não o nomeia explicitamente é um argumento que os auditores nacionais não estão a aceitar.
Se Estiver a Ler Isto Depois do Prazo
Se o dia 30 de junho já passou, a prioridade imediata não é o pânico. É a documentação.
As organizações que implementaram DMARC com p=none e estão a analisar ativamente os relatórios – com um calendário documentado em direção à aplicação – encontram-se numa posição materialmente diferente da das organizações que não têm nenhum registo DMARC. Os auditores e as autoridades supervisoras conseguem distinguir entre uma organização em transição de conformidade documentada e uma que ignorou completamente o requisito.
O caminho de p=none para p=quarantine e depois para p=reject é metódico. A análise de relatórios agregados para identificar todas as fontes de envio leva tipicamente entre quatro e oito semanas para uma organização de média dimensão. A autenticação e o alinhamento de todas as fontes identificadas requer tempo adicional proporcional à complexidade da infraestrutura de email. A aplicação faseada com monitorização em cada etapa é mais segura do que um salto precipitado para p=reject.
A lacuna de conformidade é real. O caminho para a fechar está bem estabelecido. O que requer é visibilidade contínua de DMARC – a capacidade de ver cada fonte que envia email sob o seu domínio, os resultados de autenticação de cada fonte e as tendências de volume que indicam se algo inesperado está a acontecer nos seus fluxos de email.
A conformidade NIS2 para a autenticação de email não é uma alteração pontual num registo DNS. Requer monitorização contínua dos seus relatórios agregados DMARC, um inventário atualizado de fontes de envio autenticadas e a documentação que comprove que os seus controlos estão ativos e a ser revistos. Registe-se gratuitamente na Excello Mail e obtenha a visibilidade contínua que o seu registo de auditoria do Artigo 21 exige.